Posted: 12 Aug. 2021 5 min. read

Áhættur í aðfangakeðjunni

Aðfangakeðjuárás getur haft áhrif á þúsundir fyrirtækja

Netglæpamenn halda áfram að fara mikinn og fjölmörg fyrirtæki af öllum stærðum og gerðum hafa orðið fyrir netárás. Netárásir eru ekki nýjar af nálinni, síður en svo, en undanfarið hafa svokallaðar aðfangakeðjuárásir (e. supply chain attack) rutt sér til rúms.

En hvað er aðfangakeðjuárás? Árásaraðilar beina spjótum sínum ekki beint á fyrirtækin sjálf, heldur á aðfangakeðju þeirra. Algengast er að spilliforriti sé komið fyrir í tækja- eða hugbúnaði þjónustuaðila sem dreifist svo í kerfi fyrirtækjanna, svo sem í gegnum leiðir eins og uppfærslu á viðkomandi búnaði. Slík árás getur haft áhrif á þúsundir fyrirtækja og afleiðingarnar verið gríðarlegar. 

Meðal nýlegra aðfangakeðjuárása eru árásirnar á SolarWinds, Kaseya og Colonial.

SolarWinds

Árásaraðilar komust inn í tölvukerfi SolarWinds og áttu þar við hugbúnaðinn Orion, en svokölluðum bakdyrum var bætt við til að gera árásaraðilum kleift að tengjast við öll þau fyrirtæki sem notuðu Orion. SolarWinds er þjónustuaðili fjölmarga stofnanna í Bandaríkjunum, auk þess að þjónusta mörg stærstu fyrirtækjanna á Fortune500 listanum. Árásaraðilar fengu því aðgang að um 18.000 tölvukerfum í töluverðan tíma og áhrifin viðamikil.

Kaseya

Árásaraðilar komu fyrir gagnagíslatökubúnaði í hugbúnaði Kaseya. Þeir notuðu svo sjálfvirkar uppfærslur Kaseya til að dreifa búnaðinum til viðskiptavina sem notuðu hugbúnaðinn. Þetta olli keðjuverkun og um 1.000 fyrirtæki urðu fyrir áhrifum af árásinni. Sem dæmi þurfti verslunarkeðjan COOP í Svíþjóð að loka 800 verslunum sínum tímabundið eftir árásina. Árásaraðilarnir kröfðust $70 milljóna í lausnargjald, eitt hæsta gjald sem vitað er um að hafi verið krafist fyrir gagnagíslatökubúnað.

Colonial

Árásaraðilar komu fyrir gagnagíslatökubúnaði hjá Colonial, einu stærsta olíudreifingarfyrirtæki í Bandríkjunum. Það olli því að fyrirtækið þurfti að slökkva á olíuleiðslunni sinni, en hún er ein sú mikilvægasta í Bandaríkjunum og flytur um 45% af þeirri olíu sem notuð er daglega í landinu. Úr varð olíuskortur víðsvegar á austurströndinni.

 

Hvað er til ráða?

Fyrirtæki ættu að greina hvaða þjónustuaðilar eru mikilvægir starfseminni og framkvæma sérstakt áhættumat á þeim og þeirri þjónustu sem þeir veita. Góð byrjun er að horfa til þeirra krafa um þjónustuaðila sem gerðar eru í ISO 27001 staðlinum og NIS reglugerðinni 866/2020.

ISO 27001 staðallinn gerir kröfu um að:

  • Fyrirtæki og stofnanir verji allar þær eignir sínar sem aðgengilegar eru þjónustuaðilum.
  • Viðhalda samþykktu stigi upplýsingaöryggis í samræmi við samkomulag við þjónustuaðila.

NIS reglugerðin 866/2020 gerir kröfu um að:

  • Leggja eigi mat á að hvaða þjónusta er háð þriðja aðila.
  • Leggja eigi mat á hvernig net- og upplýsingarkerfi eða undirliggjandi búnaður eru háð kerfum þriðja aðila.

Netárásir eru komnar til að vera og eru árásir á aðfangakeðju þar engin undantekning. Fyrirtæki og stofnanir af öllum stærðum og gerðum þurfa því að vera í stakk búin að verjast slíkum árásum. Þau eru ef til vill ekki skotmarkið, heldur einungis fórnarlamb árásar á þjónustuaðila þeirra. Það er því afar mikilvægt að fyrirtæki hugi að því hvernig netöryggi er háttað í tengslum við aðfangakeðjuna og hvaða áhættur það skapar.

Hefur fyrirtæki þitt útbúið lista yfir þjónustuaðila, framkvæmt áhættumat og gert viðbragðsáætlun vegna netárása?

 

Fjallað verður nánar um árásirnar í næstu bloggfærslum.

Höfundur

Úlfar Andri Jónasson

Úlfar Andri Jónasson

Verkefnastjóri, Áhætturáðgjöf

Úlfar Andri Jónasson er verkefnastjóri í netöryggisþjónustu Deloitte á Íslandi. Hann er með ýmsar vottanir tengdar upplýsingaöryggi, þar á meðal Certified Information Systems Security Professional (CISSP) og Certified Information Systems Auditor (CISA). Úlfar hefur stjórnað og framkvæmt fjölda úttekta á upplýsingaöryggismálum viðskiptavina Deloitte, þar á meðal veikleikagreiningar, innbrotsprófanir og kóðarýni. Þá hefur Úlfar aðstoðað fyrirtæki við hönnun og innleiðingu stýringa tengdu netöryggi og innra eftirliti, auk þess að hafa víðtæka reynslu í kerfisstjórnun ogmýmsar vottanir frá Microsoft í kerfisrekstri. Úlfar er meðlimur í evrópsku viðbragðsteymi Deloitte vegna netöryggisógna og innbrota í tölvukerfi.